Creo que tengo un intruso....
Hola a todos. Tengo un problema con un equipo y es que creo que me han entrado unos malos, malosos. Yo normalmente me conectaba con este equipo mediante ssh con intercambio de claves publicas. Mi sorpresa ha sido cuando hoy no me conectaba. He revisado y veo que hay ficheros con fecha de hoy por la mañana en el directorio /bin . No he encontrado mas indicio, pero supongo que eso ya es suficiente no? Los ficheros que han cambiado son estos: -rwxr-xr-x 1 root root 18555 Oct 11 09:13 chgrp -rwxr-xr-x 1 root root 19067 Oct 11 09:13 chmod -rwxr-xr-x 1 root root 18383 Oct 11 09:13 chown -rwxr-xr-x 1 root root 22827 Oct 11 09:13 dd -rwxr-xr-x 1 root root 22935 Oct 11 09:13 df -rwxr-xr-x 1 root root 38163 Oct 11 09:13 dir -rwxr-xr-x 3 root root 84487 Oct 11 09:13 egrep -rwxr-xr-x 3 root root 84487 Oct 11 09:13 fgrep -rwxr-xr-x 3 root root 84487 Oct 11 09:13 grep -rwxr-xr-x 1 root root 15239 Oct 11 09:13 kill -rwxr-xr-x 1 root root 21527 Oct 11 09:13 ln -rwxr-xr-x 1 3287 users 37468 Oct 10 18:38 login -rwxr-xr-x 1 root root 17059 Oct 11 09:13 mkdir -rwxr-xr-x 1 root root 17759 Oct 11 09:13 mknod -rwxr-xr-x 1 root root 12435 Oct 11 09:13 mktemp -rwxr-xr-x 1 root root 21723 Oct 11 09:13 mv -rwxr-xr-x 1 root root 14220 Oct 11 09:08 rm -rwxr-xr-x 1 root root 13675 Oct 11 09:13 rmdir -rwxr-xr-x 1 root root 16623 Oct 11 09:13 run-parts -rwxr-xr-x 1 root root 54431 Oct 11 09:13 sed -rwxr-xr-x 1 root root 13235 Oct 11 09:13 sync -rwxr-xr-x 1 root root 13151 Oct 11 09:13 tempfile -rwxr-xr-x 1 root root 38163 Oct 11 09:13 vdir Esto es sintoma de que han entrado en el equipo? que mas puedo mirar? El equipo es bastante antiguo, asi que lo cambiaré enterito, pero queria saber que ha podido tocar este intruso, si es que lo hay Saludos Emi
El 2004-10-11 a las 12:13 +0200, Emiliano Sutil escribió:
Hola a todos.
Tengo un problema con un equipo y es que creo que me han entrado unos malos, malosos. Yo normalmente me conectaba con este equipo mediante ssh con intercambio de claves publicas. Mi sorpresa ha sido cuando hoy no me conectaba. He revisado y veo que hay ficheros con fecha de hoy por la mañana en el directorio /bin . No he encontrado mas indicio, pero supongo que eso ya es suficiente no? Los ficheros que han cambiado son estos:
Si, es sospechoso. Habría que comparar los ficheros con los originales para estar seguro, claro. En ese caso, lo que dicen es hacer una copia o imagen del disco, guardarlo, y entonces reponer todo, para su estudio posterior con calma, y si se puede, por alguien con experiencia en el tema. ¿Que servicios tenías abiertos en esa máquina, sólo el ssh? ¿Estaba actualizada, que sisema era?
-rwxr-xr-x 1 root root 18555 Oct 11 09:13 chgrp
¿Hay algo en los logs sobre las 9? Si es bueno, no habrá nada, pero si ha dejado traza en las fechas, no es tan bueno.
Esto es sintoma de que han entrado en el equipo? que mas puedo mirar? El equipo es bastante antiguo, asi que lo cambiaré enterito, pero queria saber que ha podido tocar este intruso, si es que lo hay
Hay un programita que sirve para guardar un checksum de todos los ficheros importantes que quieras, y luego detectar si han cambiado. Esto se guarda en otro disco o disquete para que los malos no lo puedan tocar. Tripwire, se llama. Claro, hay que iniciarlo antes de que entren. -- Saludos Carlos Robinson
El Lunes, 11 de Octubre de 2004 12:13, Emiliano Sutil escribió: Bien, no se que linux tienes, pero podria ser que cambie automaticamente los permisos de algunos ficheros? De todas maneras el id del usuario del login, es muy raro. Pero, SSL no es seguro del todo. Aunque no conozco a nadie que tenga un sistema para desencriptarlo, pero se que se puede realizar. Pero, quizas tengas algun usuario en tu máquina, con el mismo password que uses en alguna otra máquina de por ahi? quizas has usado algun protocolo con tu ordenador que no sea encriptado desde algun sitio donde te podian espiar? Quizas tienes algun servicio que haces público que no esta bien protegido. Si quieres ayuda sobre esto, puedes pedirme directamente ayuda a un correo privado, o bien pedirsela a alguien mucho mas experto que yo. Nunca se sabe, en esta lista hay gente con muchos conocimientos, y vale la pena escuchar a todo el mundo.
Hola a todos.
Tengo un problema con un equipo y es que creo que me han entrado unos malos, malosos. Yo normalmente me conectaba con este equipo mediante ssh con intercambio de claves publicas. Mi sorpresa ha sido cuando hoy no me conectaba. He revisado y veo que hay ficheros con fecha de hoy por la mañana en el directorio /bin . No he encontrado mas indicio, pero supongo que eso ya es suficiente no? Los ficheros que han cambiado son estos: -rwxr-xr-x 1 root root 18555 Oct 11 09:13 chgrp -rwxr-xr-x 1 root root 19067 Oct 11 09:13 chmod -rwxr-xr-x 1 root root 18383 Oct 11 09:13 chown -rwxr-xr-x 1 root root 22827 Oct 11 09:13 dd -rwxr-xr-x 1 root root 22935 Oct 11 09:13 df -rwxr-xr-x 1 root root 38163 Oct 11 09:13 dir -rwxr-xr-x 3 root root 84487 Oct 11 09:13 egrep -rwxr-xr-x 3 root root 84487 Oct 11 09:13 fgrep -rwxr-xr-x 3 root root 84487 Oct 11 09:13 grep -rwxr-xr-x 1 root root 15239 Oct 11 09:13 kill -rwxr-xr-x 1 root root 21527 Oct 11 09:13 ln -rwxr-xr-x 1 3287 users 37468 Oct 10 18:38 login -rwxr-xr-x 1 root root 17059 Oct 11 09:13 mkdir -rwxr-xr-x 1 root root 17759 Oct 11 09:13 mknod -rwxr-xr-x 1 root root 12435 Oct 11 09:13 mktemp -rwxr-xr-x 1 root root 21723 Oct 11 09:13 mv -rwxr-xr-x 1 root root 14220 Oct 11 09:08 rm -rwxr-xr-x 1 root root 13675 Oct 11 09:13 rmdir -rwxr-xr-x 1 root root 16623 Oct 11 09:13 run-parts -rwxr-xr-x 1 root root 54431 Oct 11 09:13 sed -rwxr-xr-x 1 root root 13235 Oct 11 09:13 sync -rwxr-xr-x 1 root root 13151 Oct 11 09:13 tempfile -rwxr-xr-x 1 root root 38163 Oct 11 09:13 vdir
Esto es sintoma de que han entrado en el equipo? que mas puedo mirar? El equipo es bastante antiguo, asi que lo cambiaré enterito, pero queria saber que ha podido tocar este intruso, si es que lo hay
Saludos
Emi
-- ################################################ #- Urbez Santana i Roma - #- Email: urbez@linuxupc.upc.es #- Private Web: http://linuxupc.upc.es/~urbez/ ################################################
Urbez Santana Roma wrote:
El Lunes, 11 de Octubre de 2004 12:13, Emiliano Sutil escribió:
Bien, no se que linux tienes, pero podria ser que cambie automaticamente los permisos de algunos ficheros? De todas maneras el id del usuario del login, es muy raro.
Pero, SSL no es seguro del todo. Aunque no conozco a nadie que tenga un sistema para desencriptarlo, pero se que se puede realizar.
Pero, quizas tengas algun usuario en tu máquina, con el mismo password que uses en alguna otra máquina de por ahi? quizas has usado algun protocolo con tu ordenador que no sea encriptado desde algun sitio donde te podian espiar?
Quizas tienes algun servicio que haces público que no esta bien protegido. Si quieres ayuda sobre esto, puedes pedirme directamente ayuda a un correo privado, o bien pedirsela a alguien mucho mas experto que yo.
Nunca se sabe, en esta lista hay gente con muchos conocimientos, y vale la pena escuchar a todo el mundo.
Hola a todos. Decididamente si que habian entrado, lo que no se es como, solo tengo abierto el ssh pero es antiquisimo. Mas aun el sistema es un debian de hace la leche, kernel 2.2.16. El ssh es SSH Secure Shell 3.0.1. ¿alguien sabe que vulnerabilidad puede tener esta version para que hayan podido entrar? La solucion que he tomado, es de momento restaurar el sistema original, que por casualidad tengo copia. La solucion definitiva va a ser instalar un suse 9.1 totalmente actualizado. Saludos Emi
Emiliano Sutil wrote:
Urbez Santana Roma wrote:
El Lunes, 11 de Octubre de 2004 12:13, Emiliano Sutil escribió:
Bien, no se que linux tienes, pero podria ser que cambie automaticamente los permisos de algunos ficheros? De todas maneras el id del usuario del login, es muy raro.
Pero, SSL no es seguro del todo. Aunque no conozco a nadie que tenga un sistema para desencriptarlo, pero se que se puede realizar.
Pero, quizas tengas algun usuario en tu máquina, con el mismo password que uses en alguna otra máquina de por ahi? quizas has usado algun protocolo con tu ordenador que no sea encriptado desde algun sitio donde te podian espiar?
Quizas tienes algun servicio que haces público que no esta bien protegido. Si quieres ayuda sobre esto, puedes pedirme directamente ayuda a un correo privado, o bien pedirsela a alguien mucho mas experto que yo.
Nunca se sabe, en esta lista hay gente con muchos conocimientos, y vale la pena escuchar a todo el mundo.
Hola a todos.
Decididamente si que habian entrado, lo que no se es como, solo tengo abierto el ssh pero es antiquisimo. Mas aun el sistema es un debian de hace la leche, kernel 2.2.16. El ssh es SSH Secure Shell 3.0.1. ¿alguien sabe que vulnerabilidad puede tener esta version para que hayan podido entrar?
La solucion que he tomado, es de momento restaurar el sistema original, que por casualidad tengo copia. La solucion definitiva va a ser instalar un suse 9.1 totalmente actualizado.
Saludos
Emi
Los agujeros de SSH los puedes ver aquí: http://www.cert.org/advisories/CA-2002-18.html. Cuando instales SuSE, te recomiendo instalar el paquete seccheck. Te realiza chequeos de seguridad diarios semanales y mensuales ...
El 2004-10-13 a las 09:25 +0200, Emiliano Sutil escribió:
Decididamente si que habian entrado, lo que no se es como, solo tengo abierto el ssh pero es antiquisimo. Mas aun el sistema es un debian de hace la leche, kernel 2.2.16. El ssh es SSH Secure Shell 3.0.1. ¿alguien sabe que vulnerabilidad puede tener esta version para que hayan podido entrar?
¿Estaba protegido por un firewall, realmente sólo han podido entrar por ese puerto? Haces mal en tener un sistema antiguo con un servicio. ¿Es que no te has enterado de la reciente ola de ataques al ssh? Creo que eran ataques de diccionario. -- Saludos Carlos Robinson
Carlos E. R. wrote:
El 2004-10-13 a las 09:25 +0200, Emiliano Sutil escribió:
Decididamente si que habian entrado, lo que no se es como, solo tengo abierto el ssh pero es antiquisimo. Mas aun el sistema es un debian de hace la leche, kernel 2.2.16. El ssh es SSH Secure Shell 3.0.1. ¿alguien sabe que vulnerabilidad puede tener esta version para que hayan podido entrar?
¿Estaba protegido por un firewall, realmente sólo han podido entrar por ese puerto?
En donde han entrado es en el firewall. Gracias a linux digo.... dios :-) no han podido pasar de ahi.
Haces mal en tener un sistema antiguo con un servicio. ¿Es que no te has enterado de la reciente ola de ataques al ssh?
Creo que eran ataques de diccionario.
Tienes razon, pero en este caso tambien estaba la tacañeria del que tenia que poner la pasta para actualizar el sistema. Ahora parece que ya esta convencido para actualizarse. Pues la verdad no me he enterado de esos ataques. Alguna lista de correo o web a visitar para estar al dia de estas cosas? Gracias y un saludo
Luis wrote:
Emiliano Sutil wrote:
Urbez Santana Roma wrote:
El Lunes, 11 de Octubre de 2004 12:13, Emiliano Sutil escribió:
Bien, no se que linux tienes, pero podria ser que cambie automaticamente los permisos de algunos ficheros? De todas maneras el id del usuario del login, es muy raro.
Pero, SSL no es seguro del todo. Aunque no conozco a nadie que tenga un sistema para desencriptarlo, pero se que se puede realizar.
Pero, quizas tengas algun usuario en tu máquina, con el mismo password que uses en alguna otra máquina de por ahi? quizas has usado algun protocolo con tu ordenador que no sea encriptado desde algun sitio donde te podian espiar?
Quizas tienes algun servicio que haces público que no esta bien protegido. Si quieres ayuda sobre esto, puedes pedirme directamente ayuda a un correo privado, o bien pedirsela a alguien mucho mas experto que yo.
Nunca se sabe, en esta lista hay gente con muchos conocimientos, y vale la pena escuchar a todo el mundo.
Hola a todos.
Decididamente si que habian entrado, lo que no se es como, solo tengo abierto el ssh pero es antiquisimo. Mas aun el sistema es un debian de hace la leche, kernel 2.2.16. El ssh es SSH Secure Shell 3.0.1. ¿alguien sabe que vulnerabilidad puede tener esta version para que hayan podido entrar?
La solucion que he tomado, es de momento restaurar el sistema original, que por casualidad tengo copia. La solucion definitiva va a ser instalar un suse 9.1 totalmente actualizado.
Saludos
Emi
Los agujeros de SSH los puedes ver aquí: http://www.cert.org/advisories/CA-2002-18.html.
Cuando instales SuSE, te recomiendo instalar el paquete seccheck. Te realiza chequeos de seguridad diarios semanales y mensuales ...
Instalado el paquete de marras y es muy interesante, ya recibi el chequeo diario y ya tengo trabajo para fijar unas cosillas que ha aparecido en varios equipos que tengo. Muchas gracias por el consejo Emi
El 2004-10-14 a las 09:42 +0200, Emiliano Sutil escribió:
Tienes razon, pero en este caso tambien estaba la tacañeria del que tenia que poner la pasta para actualizar el sistema. Ahora parece que ya esta convencido para actualizarse. Pues la verdad no me he enterado de esos ataques. Alguna lista de correo o web a visitar para estar al dia de estas cosas?
Por lo menos, suse-security - no es que salgan todos los ataques, pero los más visibles, si. Y allí se citan a veces sitios que se dedican a seguir estos problemas. Seguirlos nosotros dia a dia sería un trabajo a tiempo completo, pero para eso tenemos a SuSE y el resto de distribuidores que se encargan de eso. -- Saludos Carlos Robinson
participants (4)
-
Carlos E. R. -
Emiliano Sutil -
Luis -
Urbez Santana Roma